En fin de stage, je me suis également intéressé à la détection 
d'intrusion, puisqu'en matière de sécurité, le parefeu n'est pas
suffisant.\\

Dans ce domaine, plusieurs types d'outils existent:
Les NIDS et les HIDS.\\

Les NIDS (Network Based Intrusion Detection System) surveillent 
l'état de la sécurité au niveau du réseau et les HIPS 
(HostBased Intrusion Detection System) surveillent l'état de la 
sécurité au niveau des hôtes. Il existe également des IDS hybrides
mais ceux-ci présentent peu d'intérêt.\\

Étant donné la structure réseau de l'entreprise et les orientations
de ces différents types d'IDS, nous allons nous orienté vers un NIDS.\\

Voici les NIDS les plus utilisés:
\begin{itemize}
	\item Snort:\\
	Snort est un NIDS sous licence GNU GPL qui permet de générer des 
	alertes lorsqu'une intrusion est détectée.\\ 
	Celui-ci peut être couplé à BASE (Basic Analysis and Security Engine) 
	qui est une interface web permettant de gérer des alertes générées par 
	Snort en les organisant et en produisant des diagrammes. 
	\item Bro:\\
	Bro est un NIDS conçu et maintenu par des centres de recherches, 
	celui-ci se base sur l'analyse du flux réseau, ce qui permet de 
	concevoir une cartographie du réseau et d'en générer un modèle qui sera
	comparé en temps réel au flux afin de lever une alerte lorsque la 
	déviance entre les deux est trop importante.\\
	Cependant Bro à un gros problème, celui-ci ne dispose pas d'outils 
	graphiques pour le paramétrer ce qui explique son utilisation 
	uniquement dans les milieux universitaires.
\end{itemize}

\subsection{Les techniques de détection}

\begin{itemize}
	\item Vérification de la pile protocolaire:\\
	Cela permet de détecter un grand nombre d'intrusions basées sur des 
	violations des protocoles IP, TCP, UDP et ICMP.\\
	\item Vérification des protocoles applicatifs:\\
	Cela permet de détecter des intrusions basées sur des violations de 
	protocoles applicatifs tels que NetBios (exemple: WinNuke qui utilise 
	des données NetBios invalide).\\
	\item Reconnaissance par \emph{Pattern Matching}\\
	Cette méthode se base sur la recherche de signatures d'attaques connues.
\end{itemize}

\subsection{Les différentes actions réalisées par des IDS}

\begin{itemize}
	\item Reconfiguration d'équipement afin de bloquer l'intrusion
	\item Envoi d'une alerte (trap SNMP, envoi de mail, …)
	\item Journalisation de l'attaque
	\item Sauvegarde des paquets suspects
	\item Lancement d'une application
	\item Envoi d'une fin de connexion (s'il s'agit d'une attaque sur TCP)
	\item Notification de l'alerte dans une console
\end{itemize}

Un outil tel que Snort est très puissant, cependant, son paramétrage n'est pas 
forcément évident mais ne doit pas poser énormément de difficulté au vu de la 
documentation existante sur cet outil. En revanche, le principal problème des
NIDS est une énorme consommation en ressources systèmes. Les routeurs installés
par Plan-Net étant des machines avec de faibles ressources (256Mo de RAM), il
n'est pas envisageable de mettre en œuvre Snort sur ces machines sans quoi leur
rôle premier serait rendu bien plus difficile.\\

Il est également possible de placer un NIDS sur une autre machine dans le 
réseau, cependant, dans le cas de l'installation chez un client, il n'est pas 
possible de proposer un routeur à 100 euros et un autre poste beaucoup plus
cher pour la détection d'intrusion.\\

\subsection{Avantages et inconvénients}

Avantages:
\begin{itemize}
	\item Alerte en cas d'intrusion
\end{itemize}

Inconvénients:
\begin{itemize}
	\item Nécessite beaucoup de ressources, une machine puissante
	\item Coût de la machine >> 100\texteuro
\end{itemize}
	
